Hoe u de digitale handtekening van stuurprogramma's in Windows kunt controleren en fouten kunt voorkomen

Apparaatstuurprogramma's zijn een essentieel onderdeel. zodat Windows het kan begrijpen hardwareGrafische kaart, printer, wifi-adapter, geluidskaart, enzovoort. Wanneer er iets misgaat met een driver, verschijnen er vreemde foutmeldingen, werken apparaten niet meer of treden er vastlopende processen op die moeilijk te verklaren zijn. En om het nog ingewikkelder te maken, eist Microsoft al jaren dat veel van deze drivers... digitaal ondertekend om normaal te kunnen opladen.

Verificatie van stuurprogrammahandtekeningen in Windows Het is een krachtige beveiligingsmaatregel, maar het kan ook voor flinke problemen zorgen wanneer u een oudere driver, een testdriver of een driver van een fabrikant die niet door Microsoft is goedgekeurd, moet installeren. In dit artikel leest u in detail wat driverondertekening is, hoe u deze kunt verifiëren, wat u moet doen als u de beruchte foutmelding "Windows kan de digitale handtekening niet verifiëren... (code 52)" tegenkomt en welke methoden er zijn om deze verificatie (tijdelijk of permanent) uit te schakelen, samen met alle bijbehorende risico's.

Wat houdt driverondertekening in Windows precies in?

De digitale handtekening van een controller fungeert als een authenticiteitsbewijs.Dit is zeer vergelijkbaar met de handtekening die wordt gebruikt in ondertekende applicaties. In wezen geeft het aan dat het stuurprogrammabestand niet is gewijzigd sinds de ontwikkelaar het heeft ondertekend en dat het ook een validatieproces heeft doorlopen dat Microsoft betrouwbaar acht.

Wanneer een fabrikant zijn stuurprogramma's naar Microsoft stuurtDeze stuurprogramma's kunnen worden getest (bijvoorbeeld met HLK/HCK) of ondertekend door middel van attestatie. In beide gevallen resulteert dit in een pakket dat is ondertekend met een certificaat van Microsoft. Deze ondertekening garandeert dat het stuurprogramma bedoeld is voor een specifiek besturingssysteem en gebruiksscenario, en dat het niet is beschadigd of gewijzigd tussen de bron en uw pc.

Voor de gemiddelde gebruiker fungeert deze handtekening als een beveiligingsfilter.Windows laadt standaard alleen stuurprogramma's die het goedkeuringsproces hebben doorstaan. Als u een niet-ondertekend stuurprogramma of een stuurprogramma met een ongeldige handtekening probeert te installeren, kan het systeem dit blokkeren, waarschuwingen weergeven of het apparaat simpelweg niet laden, met name in 64-bits versies van Windows Vista en later.

Op de achtergrond dient de controller-signatuur ook ter bestrijding van zeer ernstige bedreigingen. zoals rootkits, die zich vermommen als systeemstuurprogramma's om toegang te krijgen. SYSTEMZodra dit type malware als controller is geïnstalleerd, kan het verkeer monitoren, verbindingen met vervalste certificaten onderscheppen, antivirussoftware uitschakelen en zich op een zeer laag niveau verbergen, waardoor het bijna onmogelijk is om het te detecteren zonder [onduidelijk - mogelijk "antivirus" of "antivirus"]. formatear.

De algemene regel is dus duidelijk.Gebruik waar mogelijk ondertekende stuurprogramma's van de fabrikant of van [onduidelijk/onduidelijk]. Windows updateJe moet de handtekening alleen overslaan als je daar een dwingende reden voor hebt en precies weet wat je installeert.

Casestudy: Foutcode 52 "Windows kan de digitale handtekening niet verifiëren..."

Vanaf Windows Vista x64 en Windows Server 2008 en later.Het is vrij gebruikelijk om de volgende foutmelding tegen te komen: "Windows kan de digitale handtekening van de stuurprogramma's die voor dit apparaat vereist zijn, niet verifiëren. Een recente hardware- of softwarewijziging heeft mogelijk een bestand geïnstalleerd dat niet correct is ondertekend, beschadigd is of kwaadaardige software van een onbekende bron bevat. (Code 52)."

Deze melding betekent, heel eenvoudig, dat de handtekening van de controller ongeldig is. Dit hangt af van het beleid dat momenteel op uw systeem van kracht is. Het kan zijn dat het stuurprogramma helemaal niet is ondertekend, dat de uitgevende instantie niet wordt vertrouwd, dat het certificaat is verlopen of dat de bestandsintegriteit in het geding is.

In de praktijk komt het erop neer dat Windows voorkomt dat het apparaat werkt.Het is bijvoorbeeld gebruikelijk bij sommige wifi-adapters. USB Zoals bijvoorbeeld bepaalde TP-Link TL-WN722N-modellen: Apparaatbeheer herkent ze wel, maar geeft foutcode 52 weer en het apparaat werkt niet, tenzij je het systeem opstart met de verplichte toepassing van stuurprogrammahandtekeningen tijdelijk uitgeschakeld (via F8 of geavanceerde opstartopties).

Als u elke keer dat u uw computer opstart op F8 moet drukken of de geavanceerde opstartopties moet gebruiken Als uw stuurprogramma niet werkt, is dat een teken dat het probleem bij de digitale handtekening ligt. Het stuurprogramma is ofwel verouderd, gewijzigd, of gebruikt een certificaat dat niet wordt vertrouwd door de Windows-versie die u gebruikt.

De ideale oplossing is, indien mogelijk, een correct ondertekende versie van het stuurprogramma te verkrijgen.U kunt de software downloaden via de officiële website van de fabrikant of via Windows Update. Als dat niet mogelijk is, zijn er manieren om de verificatie van de digitale handtekening te versoepelen of uit te schakelen, maar gebruik deze methoden met de grootste voorzichtigheid.

Hoe valideer je de Microsoft-handtekening in een driveraanvraag?

In omgevingen voor hardwareontwikkeling, -testen of -distributie.Het komt vaak voor dat je moet controleren of een set stuurprogramma's daadwerkelijk aanwezig is. ondertekend door MicrosoftEn of het gecertificeerd is door middel van attestatie of na het doorstaan ​​van de HLK/HCK-tests. Om dit te doen, moet u eerst het ondertekende pakket downloaden van het bijbehorende Microsoft-hardwarepaneel.

De algemene stappen voor het downloaden van ondertekende stuurprogramma's van een pakket. Dit zijn de stappen: zoek de zending op in het hardwareportaal, selecteer de persoonlijke productidentificatiecode, voer de chauffeursgegevens in en gebruik in het gedeelte "Pakketten en handtekeningeigenschappen" de optie "Meer" en vervolgens "Ondertekende bestanden downloaden".

Als je het pakket eenmaal hebt, is het belangrijkste onderdeel meestal het .cat-bestand. Gekoppeld aan de controller. Deze catalogus bevat de handtekening- en certificeringsinformatie. Hier kunt u het certificaat zien dat voor de ondertekening is gebruikt en de toegestane toepassingen ervan.

Om de Microsoft-handtekening te verifiëren via de grafische interfaceU kunt met de rechtermuisknop op het .cat-bestand van het stuurprogramma klikken, 'Eigenschappen' openen en vervolgens naar het tabblad 'Digitale handtekeningen' gaan. Daar ziet u de naam van het certificaat dat voor de handtekening is gebruikt. Door op 'Details' voor die handtekening te klikken en naar het tabblad 'Details' van het certificaat te gaan, kunt u het veld 'Enhanced Key Usage' (EKU) bekijken.

De EKU geeft aan waarvoor dat ondertekeningscertificaat gebruikt kan worden.Bij Windows-hardwarestuurprogramma's worden specifieke object-ID's (OID's) gebruikt. Een OID die eindigt op 5 komt doorgaans overeen met een stuurprogramma zonder attestatie, terwijl een OID die eindigt op 1 aangeeft dat het stuurprogramma is ondertekend met een attestatie. Dit onderscheid is belangrijk wanneer u twee versies van hetzelfde stuurprogramma hebt en wilt weten welke welke is.

Controleer handtekeningen met SignTool (handtekening ingebed in .sys-bestanden)

Naast de handtekening in de .cat-catalogusVeel kernelstuurprogramma's hebben een handtekening die direct in het .sys-bestand is ingebed. Om dit type handtekening te controleren, is de standaardtool TekenTool, opgenomen in de Windows SDK en de Microsoft-ontwikkeltools.

Het gebruikelijke commando om een ​​in een stuurprogramma ingebedde handtekening te valideren. Het zou zoiets zijn:

SignTool — controleer de handtekening: SignTool verify /v /pa DriverFileName.sys

In dit commando is de optie controleren Het geeft SignTool de opdracht om de handtekening te verifiëren. van het opgegeven stuurprogramma. De modifier /v Het activeert gedetailleerde uitvoer, waarbij voortgangsberichten en mogelijke waarschuwingen worden weergegeven, terwijl /pa Het vereist dat de verificatie wordt uitgevoerd volgens de handtekeningvereisten voor de installatie van PnP-apparaten.

Houd er rekening mee dat SignTool niet vereist dat u een specifiek certificaat opgeeft. Het systeem gebruikt het certificaat waarmee het bestand is ondertekend; het doorzoekt de certificaatarchieven van het systeem om te controleren of de vertrouwensketen leidt naar een vertrouwde basiscertificeringsinstantie. Daarom is het, als u testcertificaten gebruikt, verplicht om dat certificaat eerst te installeren in het archief met 'Vertrouwde basiscertificeringsinstanties' op de machine die u gebruikt voor verificatie.

SignTool — praktisch voorbeeld: SignTool verify /v /pa amd64\toaster.sys

Als de verificatie mislukt, geeft SignTool foutmeldingen weer. Dit geeft aan of het probleem is dat het certificaat niet gevonden kan worden, de certificaatketen geen vertrouwde root bereikt, het sleutelgebruik onjuist is of de handtekening niet overeenkomt met de werkelijke inhoud van het bestand (gemanipuleerd of beschadigd bestand).

Ondertekende, niet-ondertekende en generieke Windows-stuurprogramma's

In het dagelijks leven van een Windows-gebruiker zijn er in principe drie soorten stuurprogramma's.Dit zijn generieke stuurprogramma's die door het systeem zelf worden geleverd, officiële stuurprogramma's van de fabrikant en, in mindere mate, minder bekende stuurprogramma's van derden of proefversies.

Generieke Microsoft-stuurprogramma's Ze worden automatisch geïnstalleerd, zodat u de meeste hardware vanaf de eerste opstart kunt gebruiken. Ze bieden meestal een basisset aan functies: met een multifunctionele printer kunt u bijvoorbeeld alleen printen, maar niet scannen of de geavanceerde functies van het bedieningspaneel gebruiken.

De stuurprogramma's worden geleverd door de hardwarefabrikant. Ze voegen vaak extra functies toe, verbeteren de prestaties en maken specifieke tools mogelijk: configuratieschermen, kalibratieprogramma's, kleurprofielen, speciale geluidsfuncties, enz. Als u de GPU volledig wilt verwijderen, gebruik dan de volgende instructies. DDU.

Het komt vaak voor dat bij een zoekopdracht naar chauffeurs op Google, websites van derden als eerste verschijnen. die beloven "elke driver te downloaden" of alles automatisch te installeren. Dit soort sites zijn een klassieke bron van malware en gemodificeerde drivers, dus het is het beste om ze te vermijden. Als je systeem handtekeningverificatie heeft ingeschakeld, worden veel van deze drivers geblokkeerd omdat ze als ongeldig worden gedetecteerd. Als je liever een tool gebruikt om drivers te identificeren, kun je Driver gemakkelijk.

Ten slotte zijn er nog teststuurprogramma's of stuurprogramma's van kleinere ontwikkelaars.Deze certificaten kunnen zijn ondertekend met zelfondertekende certificaten of door entiteiten die niet standaard door Windows worden herkend. In dergelijke gevallen kunnen waarschuwingen en fouten zoals code 52 verschijnen.

Methode 1: Opstarten door het tijdelijk uitschakelen van de stuurprogrammaondertekening.

De eenvoudigste en minst ingrijpende manier om de beperking te omzeilen. Dit houdt in dat u de opstartoptie "Handhaving van stuurprogrammahandtekeningen uitschakelen" gebruikt. Deze modus is alleen van toepassing op die sessie; bij de volgende herstart keert Windows terug naar het standaardgedrag.

Het idee is simpel: je start het systeem met deze optie.Je installeert het problematische stuurprogramma en start daarna de computer normaal opnieuw op. Dit heeft als voordeel dat het de kans op problemen verkleint. de tijd waarbij het systeem niet beveiligd is, hoewel dit niet altijd garandeert dat het stuurprogramma ook bij toekomstige opstartpogingen zal blijven functioneren zonder de juiste ondertekening.

In Windows 8, Windows 10 en Windows 11De klassieke F8-toets is standaard verborgen.De gebruikelijke manier is daarom om de geavanceerde opstartopties vanuit het systeem zelf te openen. Je kunt de toets ingedrukt houden. Shift (Shift) terwijl u op 'Opnieuw opstarten' klikt in het Startmenu, of voer het uit in een venster van CMD of Ren:

Geavanceerde inlogtoegang: shutdown.exe /r /o

Na het opnieuw opstarten van de computer zal Windows het menu met diagnostische opties weergeven.Ga vervolgens naar "Probleemoplossing" > "Geavanceerde opties" > "Opstartinstellingen". Nadat u op OK hebt geklikt, start het systeem opnieuw op en ziet u een lijst met opties. Daaronder bevindt zich "Handhaving van stuurprogrammahandtekeningen uitschakelen", die u normaal gesproken selecteert door op F7 te drukken.

En Windows 7Windows Vista en gelijkwaardige versies van Windows ServerJa, F8 is meestal direct beschikbaar bij het opstarten. Druk er gewoon herhaaldelijk op tijdens het inschakelen van de computer, ga naar de geavanceerde opties en selecteer direct 'Verplicht gebruik van ondertekende stuurprogramma's uitschakelen'.

Methode 2: Het opstartproces permanent wijzigen met bcdedit

Als u de handtekeningverificatie permanent wilt uitschakelen (bijvoorbeeld in een test- of laboratoriumomgeving) kunt u gebruikmaken van bcdedit, een lijngereedschap van commando's waarmee je de opstartinstellingen van Windows kunt wijzigen.

In tegenstelling tot de vorige tijdelijke methode zijn wijzigingen die met bcdedit worden aangebracht permanent. Na elke herstart totdat je ze terugzet. Om diezelfde reden moet je ze met grote zorgvuldigheid gebruiken, omdat je anders de mogelijkheid openlaat dat stuurprogramma's zonder geldige handtekening worden geladen.

Om de controle met bcdedit uit te schakelenopent een venster van Opdrachtprompt Voer de volgende opdracht uit met beheerdersrechten (klik met de rechtermuisknop op "Uitvoeren als beheerder"):

bcdedit — testmodus inschakelen en integriteit uitschakelen: bcdedit /set testsigning on
bcdedit /set nointegritychecks on

Parameter testondertekening op testmodus activerenOntworpen om ontwikkelaars in staat te stellen teststuurprogramma's te uploaden die zijn ondertekend met testcertificaten. De waarde geen integriteitscontroles op Het schakelt de controle op de integriteit van de digitale handtekening uit, waardoor Windows stuurprogramma's kan laden, zelfs als hun handtekening niet voldoet aan de gebruikelijke validaties.

Wanneer u wilt terugkeren naar het normale Windows-gedragJe moet die waarden uit de bootloaderconfiguratie verwijderen met:

bcdedit — testondertekening/geen-integriteitscontroles terugdraaien: bcdedit /deletevalue testsigning
bcdedit /deletevalue nointegritychecks

Als u vragen heeft over welke waarden momenteel actief zijnJe kunt de instellingen controleren met:

Controleer de status van de oplader: bcdedit /v

Voordat u dit soort permanente veranderingen doorvoert, is het raadzaam om twee belangrijke punten in overweging te nemen.Als BitLocker is ingeschakeld, schakel het dan tijdelijk uit. Als het is ingeschakeld in de BIOS/UEFI, Beveiligd OpstartenJe moet dit uitschakelen, omdat dit mechanisme specifiek voorkomt dat niet-geverifieerde systemen of configuraties worden geladen.

Schakel het ondertekenen van stuurprogramma's uit via groepsbeleid.

Gebruikers van Windows 10/11 Pro en gelijkwaardige edities U kunt het ondertekeningsgedrag van stuurprogramma's aanpassen via de Editor voor lokaal groepsbeleid (gpedit.msc). Deze methode is niet beschikbaar in Home-edities.

Om het te gebruiken, opent u het dialoogvenster 'Uitvoeren' met Win + R.Schrijft gpedit.msc en druk op Enter. Navigeer in de editor die wordt geopend naar "Gebruikersconfiguratie" > "Administratieve sjablonen" > "Systeem" > "Stuurprogramma-installatie".

Binnen dat pad vindt u de optie "Codeondertekening voor apparaatstuurprogramma's".Dubbelklik erop om de instellingen te openen. Daar kunt u kiezen uit verschillende beleidsregels: waarschuwen, blokkeren of toestaan.

Als u 'Uitschakelen' selecteert of het beleid aanpast zodat er geen handtekening meer vereist is, kunt u dit doen.Windows zal minder streng zijn bij het installeren van stuurprogramma's, maar houd er rekening mee dat dit geldt voor de gebruikerscontext en mogelijk niet alle gevallen dekt van de kernel of stuurprogramma's die in de allereerste fasen van het opstarten worden geladen.

Na het wijzigen van dit beleid is het raadzaam de computer opnieuw op te starten. Om ervoor te zorgen dat de nieuwe regels volledig worden toegepast. En als u het problematische stuurprogramma eenmaal hebt geïnstalleerd, overweeg dan om terug te keren naar een meer restrictieve configuratie om te voorkomen dat die kwetsbaarheid voor onbepaalde tijd blijft bestaan.

Testmodus in Windows

Windows beschikt over een goed doordachte "Testmodus". Voor scenario's waarin het nodig is om stuurprogramma's of toepassingen uit te voeren die niet zijn ondertekend met standaardcertificaten. In deze modus kunnen teststuurprogramma's worden geladen zonder dat ze hoeven te zijn ondertekend met een door Microsoft erkende certificeringsinstantie.

bcdedit wordt ook gebruikt om deze modus te activeren of deactiveren.Vanuit een console met beheerdersrechten kunt u de parameter beheren. TESTONDERTEKENINGHoewel veel handleidingen het andersom laten zien, is de gebruikelijke werkwijze als volgt:

TESTSIGNING — activeeropdracht: bcdedit /set TESTSIGNING ON

Door TESTSIGNING op ON te zetten, start het systeem in testmodus. Je ziet een watermerk op je bureaublad met iets als "Windows-testmodus...". Zolang deze modus actief is, kun je stuurprogramma's installeren en laden die zijn ondertekend met testcertificaten.

Wanneer u klaar bent met het installeren of testen van de benodigde stuurprogramma'sHet is raadzaam om terug te keren naar de normale modus door het omgekeerde commando uit te voeren:

TESTSIGNING — deactiveringsopdracht: bcdedit /set TESTSIGNING OFF

Deze aanpak is een soort tussenweg. Het gaat om een ​​tussenoplossing tussen de volledig tijdelijke methode van opstarten met F7 en het volledig uitschakelen van integriteitscontroles. Deze laatste is met name bedoeld voor ontwikkelaars en testers die werken met stuurprogramma's die nog in ontwikkeling zijn.

Schakel de verificatie van de digitale handtekening van het stuurprogramma volledig uit.

Er bestaat een radicalere methode die het permanent uitschakelt. Een van de belangrijkste beveiligingsfuncties met betrekking tot controllers is het controleren van de integriteit van de digitale handtekening. Dit is een extreme oplossing en mag alleen als laatste redmiddel worden gebruikt.

Het idee is simpel: Windows via bcdedit laten weten dat er geen integriteitscontroles uitgevoerd hoeven te worden. Bij het laden van stuurprogramma's. Hiervoor wordt doorgaans een opdracht zoals de volgende gebruikt in een beheerdersconsole:

NoIntegrityChecks — controles uitschakelen: bcdedit.exe /set nointegritychecks on

Met deze aanpassing staat Windows de installatie en het laden toe van stuurprogramma's die niet voldoen aan de digitale handtekeningcontrole.Met andere woorden: vrijwel elke driver kan worden uitgevoerd, ongeacht de herkomst, zolang andere mechanismen (zoals Secure Boot) dit niet belemmeren.

Zodra je alle benodigde stuurprogramma's hebt geïnstalleerd,Het wordt ten zeerste aanbevolen deze wijziging ongedaan te maken en terug te keren naar de standaardwaarde om de bescherming te herstellen. U kunt dit doen door de volgende opdracht uit te voeren:

Geen integriteitscontroles — herstel de controles: bcdedit.exe /set nointegritychecks off

Het permanent uitschakelen van deze controles vergroot het aanvalsoppervlak aanzienlijk.Een kwaadwillende driver kan via deze route met volledige rechten binnendringen, zonder dat Windows dit tegenhoudt. Daarom is het in persoonlijke omgevingen meestal verstandiger om tijdelijke methoden te gebruiken of te zoeken naar ondertekende driveralternatieven, in plaats van het systeem permanent onbeschermd te laten.

Reële gevaren van het installeren van niet-ondertekende stuurprogramma's

Het ondertekenen van een chauffeurshandtekening lijkt misschien een gedoe. Misschien wilt u alleen dat uw wifi-adapter of uw oude printer werkt, maar het is goed om te onthouden waarom deze beperking bestaat. Bedreigingen die via stuurprogramma's verlopen (rootkits, bootkits, enz.) behoren tot de gevaarlijkste bedreigingen die er zijn.

Een kwaadaardig stuurprogramma wordt uitgevoerd met SYSTEM-rechten.Het beschikt over meerdere gebruikers en diverse beveiligingsmaatregelen. Van daaruit kan het al het netwerkverkeer onderscheppen, certificaten manipuleren om verbindingen naar nepwebsites om te leiden, toetsaanslagen registreren, wachtwoorden bespioneren en nog veel meer.

Bovendien is dit type malware meestal vrijwel onzichtbaar. Dit komt doordat antivirus- en beveiligingsprogramma's die op het besturingssysteem zelf draaien, op een lager niveau laden. In veel gevallen is de enige betrouwbare manier om van zo'n rootkit af te komen, het volledig formatteren en opnieuw installeren van Windows.

Schakel daarom nooit zomaar de digitale handtekening van stuurprogramma's uit. Vertrouw niet op programma's die je vragen om bepaalde functies uit te schakelen om zogenaamde "magische drivers" of "optimizers" te installeren. Voordat je met deze opties experimenteert, is het verstandig om alternatieven te zoeken bij betrouwbare bronnen of te overwegen of je die specifieke driver wel echt nodig hebt.

De gouden regel is simpel: installeer alleen stuurprogramma's van betrouwbare bronnen.Vooral als u besluit de verificatie van digitale handtekeningen uit te schakelen of te versoepelen. Een kleine fout vandaag kan morgen een groot probleem worden als een geïnfecteerd stuurprogramma de controle over uw computer overneemt.